Analistas de una firma de seguridad cibernética estadounidense han detectado un aparente nuevo instalador para un virus que mina Monero y lo envía a una universidad en Pyongyang, en Corea del Norte.
Como la empresa de seguridad cibernética AlienVault informó el 8 de enero, el malware apareció alrededor de la Víspera de Navidad y contiene servicios que depositan Monero automáticamente a un monedero asociado con la Universidad Kim Il Sung de Corea del Norte.
AlienVault observa ciertas características contradictorias en el malware, por lo que es difícil determinar su autor, finalidad y probablemente la metamorfosis. En su informe, el investigador comenta:
“No está claro si estamos viendo una prueba temprana de un ataque, o parte de una operación minera "legítima" donde los dueños del hardware son conscientes de la minería. Sin embargo, la muestra contiene mensajes impresos obvios para la depuración que un atacante podría evitar. Pero también contiene nombres falsos que parecen ser un intento de evitar la detección del software de minería instalado.”
Señalando la naturaleza "inusualmente abierta" de la presunta universidad de acogida, incluso podría ser que el autor no sea de Corea del Norte, o que el destinatario no sea lo que parece.
El informe de AlienVault rompe los escenarios posibles, teniendo en cuenta los datos a mano:
“La dirección cuyo nombre del servidor es barjuok.ryongnamsan.edu.kp, actualmente no funciona. Esto significa que el software no puede enviar monedas minadas a los autores en la mayoría de las redes. Es posible que:
- La aplicación esté diseñada para ejecutarse dentro de otra red, como la de la propia universidad;
- la dirección utilizada para funcionar ya no lo hace; o
- el uso de un servidor de Corea del Norte es una broma para engañar a los investigadores de seguridad.”
AlienVault también señala que si el gobierno de Corea del Norte está detrás de la operación, puede ser parte de un movimiento para utilizar las criptomonedas para "proporcionar un salvavidas financiero" a la luz de las sanciones contra el país.
A finales de diciembre, el CEO de Crowdstrike, una compañía de seguridad cibernética estadounidense, le dijo a la prensa que estaba convencido de que el gobierno de Corea del Norte estaba robando y almacenando criptomonedas.
La aparición del nuevo malware marca la última fase en la guerra cibernética que aflige a las dos Coreas. El mes pasado, unos hackers del país del norte estuvieron involucrados grandemente, según reportes, en robos de criptomonedas dirigidos al intercambio de Corea del Sur.
En un proyecto experimental de “jaqueo de sombrero blanco” a finales de diciembre, un medio de comunicación con base en Seúl utilizó expertos en seguridad para comprometer cuentas que crearon en cinco intercambios de monedas digitales grandes de Corea del Sur, destacando la facilidad con la que terceros malintencionados podrían robar fondos.